phpbb.com hackeado.

[DAX]

Todos (o casi todos) conocen el software para crear foros "phpbb", incluso, durante los primeros tiempos de argento, usamos ese soft.

Bueno, precisamente, el único problema de seguridad que tuvimos en argento fué con phpbb, y fué uno de los motivos principales por los cuales decidimos migrar a SMF (luego de probar varios soft).

Desde el pasado 1 de febrero el sitio de phpbb, phpbb.com permanece fuera de línea debido a haber sufrido un grave ataque que permitió que su atacante se hiciera con toda la lista de correo del lugar y con toda la base de datos de phpbb.com.

Según lo explicado por uno de los responsables de phpbb.com el ataque se pudo concretar a traves de una vulnerabilidad de phplist, el manejador de listas de correos del sitio. Gracias a esta vulnerabilidad, el atacante logro dos cosas:

1) obtuvo la base de datos de la lista de correo completa del sitio (útil para engrosar las Dbs de spammers, por ejemplo).

2) adicionalmente, la vulnerabilidad de phplist, permitió al atacante acceder también a la Base de datos de phpbb y descargarla completamente.

¿Qué implica esto? bueno, puede ser un problema para quienes estén registrados en el foro de phpbb.com por utilizar su software.

Como dije al principio, una de las vulnerabilidades de php.com (corregida a partir de la versión 3) es la simpleza de su hash (MD5) para almacenar las contraseñas en la DB, ya que éste puede ser, tranquilamente, revertido para determinar la contraseña de un usuario. Muchas veces he expresado aquí mi temor al registrarme en foros que usan phpbb (hasta la versión 2) por este motivo y, en especial, al haber tomado conocimiento que, existen (o existieron) casos de administradores de foros que, aprovechando esta situación, "robaban" la contraseña de sus usuarios para luego, probarlas en otros foros (es sabido que muchos usuarios utilizan la misma contraseña en los foros que se registran).

Precisamente por este motivo, al ponernos en la piel de usuario, para brindarles a nuestros usuarios la seguridad e integridad de sus datos y contraseñas, fué que elegimos SMF, ya que su sistema de códificación impide cualquier intento de conocer la contraseña almacenada en la DB a través de ingenieria inversa y, adicionalmente, la contraseña no viaja en forma de texto plano (como si lo hace en phpbb2) desde la pc del usuario hasta el servidor, impidiendo que pueda ser conocida en caso de intercepción de la comunicación (vía sniffers, por ejemplo).

Como se que muchos de los usuarios de este foro tienen sus propios foros, y, seguramente, algunos con phpbb (aunque argento ayudó mucho a difundir el uso de SMF ), les sugiero dos cosas importantes:

1) Si son usuarios de php.com para tener soporte y plantear sus problemas, y hace tiempo que no ingresan al foro de phpbb.com, cuando éste vuelva a estar en línea, ingresen sin falta y cambien su contraseña, ya que a pesar de haberlo migrado a la versión 3, la codificación de la contraseña no se modifica (queda con el hash viejo) hasta tanto el usuario no se loguee en el foro despues de la migración. Es decir, quien sea usuaro de phpbb.com y no ha hecho esto, tiene su contraseña comprometida y en poder de quien hackeo el sitio.

2) Si utilizan phpbb2 en sus foros, migren urgentemente a la versión 3 si no quieren cambiar de soft, o a otro sistema de foros mas seguro que phpbb.

Para finalizar, les dejo aqui, la parte final del anuncio de los responsables de phpbb

We apologise for not securing our servers in time to prevent this from happening. This demonstrates how critically important it is to always make sure that you keep up to date with any software that is running on your machine. Intrusion is possible even before a patch is provided to fix a vulnerability. At this time, the team is working around the clock to restore phpBB.com and other resources.

SaludOS/2

[darklittledevil]

Muy bueno el informe DAX, encima tienen la caradurez de poner el cartel No vulnerabilities have been found in the phpBB software itself (No se han encontrado vulnerabilidades en el software phpBB) y ponen el enlace de descarga del programa... 

Seguramente los administradores del sitio saben a lo que se arriesgan 

[4kstore]

Lo de la encryptacion de las contraseñas si lo sabia... hasta donde se smf usa md5 y sha1 a la vez?.....
Gracias dax.
Saludos!

[Merovingio.]

Muchas gracias por la info DAX

Yo tenia un foro echo para los chicos de curso, a mi (que soy el creador del foro) me va a afectar en algo?